-
Junior Member
- Вес репутации
- 59
SOS! Червяк! Mdelk.exe - такого еще не видел!!!
Господа хорошие!!! Помогите кто чем может продвинутому чайнику в борьбе с жестоким и коварным вирусом - идут вторые сутки активных позиционных столкновений.
Началась история как обычно - потерял бдительность - открыл закаченный еМулом файл под названием "advanced jpeg compressor". И получил хук и справа и слева... Червяк проник в систему и первым делом вырубил все антивирусные проги - у меня стоял Гугловский AntiSpy, CureIt etc. Моя попытка загрузиться в безопасном режиме была червяком гневно пресечена...
Купил лицензионного Касперыча - бесполезно. Не инсталируется... Единственная возможность - просканироваться в онлайне на сайте Касперского и использовать CureIt, который открывается после загрузки прямо из Орбита.
Что показало вскрытие?
Наличие следующих "красавцев" - mdelk.exe и wintems.exe
Попытки их удалить с помощью CureIt вроде бы увенчиваются успехом (но только после перезагрузки). Спустя некоторое время очередное сканирование их снова обнаруживает и так до бесконечности.
Помогите!!! Заранее благодарю за помощь
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
есть возможность загрузится с лайв Cd ?
-
-
Junior Member
- Вес репутации
- 59
Увы нет...
Только что помотрел результаты сканирования Касперским он-лайнером - ничего подозрительного не обнаружено... Но ведь сидит этот змей где-то...
-
известно где .... но без диска удалить его будет крайне тяжело ....
-
-
Junior Member
- Вес репутации
- 59
Закачал после ознакомления с аналогичной бедой у другой (на форуме) AVPTool - что делать дальше?
-
сделайте скан системы .... но ...
косолью восстановления можете пользоваться ?
-
-
Junior Member
- Вес репутации
- 59
"известно где .... но без диска удалить его будет крайне тяжело ...."
То есть "жить будем счастливо! Но недолго..."?
-
т .е все легко лечится ... при подключении диска к другой машине ... или загрузке с лайв диска ...
-
-
Junior Member
- Вес репутации
- 59
По поводу консоли восстановления - еще ни разу не пользовался - но если дадите инструкции - думаю, что смогу... Я, увы, не программист, по большей части Пиарщик...
-
А где эти wintems.exe и mdelk.exe CureIt! обнаружил? Укажите путь к файлам или хотя бы диск (С: или другой?).
Можете сделать логи с помощью AVPTool http://avptool.virusinfo.info/ru/AVPTool_manual.htm
-
-
Junior Member
- Вес репутации
- 59
ОК, у меня стоит еще другой ноутбук - тот девственно чист, поскольку с Интернетом еще не сталкивался... Но как их совместить? На том стоит лицензионный Касперыч, правда, необновленный...
Есть еще стационарный комп, но тот я увижу лишь завтра утром - там Касперыча нет, из антивирусных прог - только Avast
-
консоль восстановления
зайти и удалить .... del следйющие файлы .... добавите точный ваш путь ...
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
Добавлено через 55 секунд
затем сделать логи по правилам ...
Последний раз редактировалось V_Bond; 29.02.2008 в 23:11.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 59
OK, что касается "героев" сюжета - mdelk.exe стойко обнаруживается всегда в одном и том же месте - C:\Windows\system32
wintems.exe - эта гадина была обнаружена в С:\System Volume Information\_restore
Mdelk и иже гадят, оставляя в этой же папке зараженные файлы с расширениями sys и exe.
Кроме того, в C:\Documents and Settings\ffdf\Local Settings\Temporary Internet Files\Content.IE5\U3OVWMW4\b64_1[1].jpg - вот такие jpg - тоже вирусные.
-
отключите восстановление системы ...
очистите времеменные интернет файлы и выполняйте указания из поста 12 ...
-
-
Junior Member
- Вес репутации
- 59
Bond, а вот эти Srosa и hldrrr - это как пример?
Если да, то у меня вот какая проблема - из тех, которые на данный момент я смог обнаружить - это mdelk, сидящий в C:\Windows\system32
Других никто - ни он-лайновый сканнер Касперского, ни CureIt пока не видит.
Добавлено через 4 минуты
Итак, что делать? В пошаговом режиме. Первое - отключить восстановление системы. Я очень счастливый человек - я этого раньше никогда не делал, но подозревал что это можно сделать через панель управления, система - свойства. Вот только что-то не нахожу сейчас где это делать... У меня XP Professional
Последний раз редактировалось Jorge Menefrego; 29.02.2008 в 23:25.
Причина: Добавлено
-
они всегда вместе ходят ...
если не отключается восстановление сейчас .... отключим после ....
-
-
Junior Member
- Вес репутации
- 59
Что касается консоли восстановления - сейчас точно не получится - она у меня на рабочем месте... А Вы про ту ветку, где Stepanyuk решил проблему при помощи AVPTool? http://virusinfo.info/showthread.php?t=17312
-
полный скан AVPTool не повредит ...
но метод с консолью надежнее ....
-
-
Junior Member
- Вес репутации
- 59
Спасибо, Бонд!
Попробую сейчас AVPTool, если ничего путевого не выйдет - придется завтра на работе искать загрузочный диск и проделывать все через консоль восстановления. Завтра сообщу об успехах. Если комп не умрет
-
не умрет
-